Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Relevanta dokument
Datainspektionen lämnar följande synpunkter.

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Utkast till lagrådsremissen Vägtrafikdatalag

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Snabbare lagföring (Ds 2018:9)

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Ds 2016:44 Nationell läkemedelslista

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Hur står det till med den personliga integriteten? (SOU 2016:41)

SOU 2015:84 Organdonation En livsviktig verksamhet

En anpassning till dataskyddsförordningen kreditupplysningslagen och några andra författningar

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Yttrande i Förvaltningsrätten i Stockholms mål

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Utdrag ur protokoll vid sammanträde

Så stärker vi den personliga integriteten SOU 2017:52

Personuppgiftsbehandling i forskningsbibliotekens verksamhet

Remiss av SOU 2015:66 En förvaltning som håller ihop

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning. Lars Hedengran (Socialdepartementet)

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.


Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Vården och reglerna om dataskydd

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

GDPR. Ulrika Harnesk 17 oktober 2018

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Remiss från Justitiedepartementet - Ny dataskyddslag (SOU 2017:39)

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Svensk författningssamling

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av

Stockholm den 25 november 2015 R-2015/2121. Till Justitiedepartementet. Ju2015/08545/L4

Hemlig dataavläsning ett viktigt verktyg i kampen mot allvarlig brottslighet (SOU 2017:89)

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Anpassning till den allmänna dataskyddsförordningen av lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska intressen m.m.

Datalagring och integritet (SOU 2015:31)

Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63)

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Stockholm den 14 september 2017

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Stockholm den 28 april 2015

Regionala etikprövningsnämnden i Uppsala

SOU 2017:39 Ny dataskyddslag

EU:s dataskyddsförordning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Justitiedepartementet Stockholm

Hur står det till med den personliga integriteten? (SOU 2016:41)

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

PUL OCH DATASKYDDSFÖRORDNINGEN

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

EU:s dataskyddsförordning och lagstiftningen inom Näringsdepartementets ansvarsområden

Regeringens proposition 2017/18:133

Tillsyn - äldreomsorg

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Yttrande över departementspromemorian Nationell läkemedelslista (Ds 2016:44)

Finansdepartementet. EU:s dataskyddsförordning: Anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Förslag om dataskyddsbestämmelser som komplettering till propositionen Ny ordning för att främja god sed och hantera oredlighet i forskning

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Yttrande över Socialstyrelsens förslag till föreskrifter om behandling av personuppgifter och journalföring i hälsooch sjukvården

Tillsyn - äldreomsorg

Transkript:

Yttrande Diarienr 1 (22) 2017-11-01 1954-2017 Ert diarienr S2017/04726/SAM Socialdepartementet 103 33 Stockholm Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning Datainspektionen har granskat betänkandet huvudsakligen utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Betänkandet innehåller ett stort antal författningsförslag. Datainspektionen går inte igenom dem var för sig, utan behandlar frågorna generellt utifrån betänkandets struktur. Datainspektionen har på grund av områdets omfattning inte heller gjort några bedömningar huruvida det finns andra befintliga bestämmelser på området som bör ändras med anledning av dataskyddsförordningen, men som inte berörs i betänkandet. Datainspektionen uppmärksammar risken att vissa verksamheter kan komma att stå utan författningsstöd för behandling av personuppgifter som är nödvändig för verksamheten, se avsnitt 8, men Datainspektionen har inte inventerat om det saknas reglering som borde finnas för att uppfylla kraven i dataskyddsförordningen. Beträffande utredningens förslag och slutsatser har Datainspektionen följande synpunkter. Sammanfattning Datainspektionen anser att utredningen inte i tillräcklig grad har beaktat skillnaderna mellan ett EU direktiv och en EU förordning. EU direktiv måste implementeras i nationell rätt, till exempel genom lagstiftning. Det är utifrån detta perspektiv som nu gällande registerförfattningar är framtagna. EU Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2017-11-01 Diarienr 1954-2017 2 (22) förordningar däremot är direkt tillämpliga i nationell rätt. Nationella bestämmelser får endast meddelas om EU förordningen kräver eller uttryckligen tillåter det. Utredningen har trots denna skillnad utgått ifrån att författningarna i största möjliga mån ska bevaras som de är. Metoden har huvudsakligen bestått i att jämföra direktivet och förordningen för att få fram skillnaderna. Dessa skillnader har sedan jämförts med gällande registerförfattningar. Datainspektionens uppfattning är att denna utgångspunkt och metod riskerar leda till att de nationella bestämmelserna inte kommer att stå i överensstämmelse med dataskyddsförordningen. Utredningen har i sin genomgång förutsatt att lagstiftaren har gjort proportionalitetsbedömningar när de nationella bestämmelserna togs fram. Utredningen undersöker dock inte om så faktiskt har skett och i så fall om de bedömningar som då gjordes fortfarande är gångbara. Utredningen har heller inte analyserat verksamheternas reella behov av att behandla personuppgifter i verksamheterna. Enligt Datainspektionens uppfattning behöver proportionalitetsbedömningar och behovsanalyser utgå från aktuella förhållanden. Mot bakgrund av den snabba utvecklingen inom it området är det särskilt vanskligt att som utgångspunkt basera lagstiftning som avser behandling av personuppgifter på bedömningar som ligger bakåt i tiden. I arbetet med nationell reglering med anledning av dataskyddsförordningen är det av vikt att de grundläggande principerna i artikel 5.1 analyseras och beaktas och att de krav som ställs på nationell reglering i artikel 6.3 följs. Enligt artikel 6.3 ska grunden för behandlingen som avses i punkt 1 c och e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. De författningar som omfattas av utredningens förslag är rättighetsinskränkningar i förhållande till registrerades rätt till personlig integritet vid behandling av personuppgifter. Kravet på en proportionalitetsbedömning är central i dataskyddsförordningen och även en utgångspunkt i EU:s stadga om de grundläggande rättigheterna för att få behandla personuppgifter. Enligt 2 kap. 6 andra stycket och 2 kap. 20 regeringsformen får begränsningar endast ske genom lag om de innebär ett betydande intrång i den personliga integriteten.

Datainspektionen 2017-11-01 Diarienr 1954-2017 3 (22) Datainspektionen anser att lagstiftaren aktivt måste genomföra proportionalitetsbedömningar för att uppfylla kraven enligt såväl EU:s rättighetsstadga, dataskyddsförordningen som regeringsformen. För att säkerställa att verksamheter som står under Socialdepartementet har stöd för den personuppgiftsbehandling som är nödvändig för verksamheten behöver redan gjorda bedömningar identifieras och analyseras utifrån de faktiska förhållanden som råder i dag. Utifrån de krav som finns i dataskyddsförordningen får lagstiftaren sedan bedöma om de tidigare bedömningarna fortfarande kan anses giltiga och kan utgöra stöd för den nationella regleringen som krävs enligt dataskyddsförordningen. Mot bakgrund av att utredningen inte har gjort de analyser som krävs enligt dataskyddsförordningen måste förslagen i det fortsatta lagstiftningsarbetet kompletteras med nödvändiga analyser och bedömningar. Det behöver också bedömas i vilken mån det krävs lagstiftning enligt 2 kap. 6 andra stycket regeringsformen, där sådan inte finns idag. 1 Författningsförslag I författningsförslagen i betänkandet används förkortningen Europaparlamentets och rådets förordning (EU) nr 2016/679. Datainspektionen konstaterar att i förslaget till den kompletterande dataskyddslagen används förkortningen dataskyddsförordningen, jfr 1 kap. 1 förslaget till kompletterande dataskyddslag. Datainspektionen anser att samma terminologi bör användas i all nationell reglering som rör behandling av personuppgifter, vilket även innefattar vilken förkortning som används. Utredningen föreslår att det i vissa registerförfattningar införs en hänvisning till finalitetsprincipen, det vill säga till artikel 5.1 b dataskyddsförordningen. Datainspektionen anser att det är bra att det i de föreslagna bestämmelserna hänvisas till artikeln. Datainspektionen anser dock att den föreslagna formuleringen är missvisande. Av författningsförslagens lydelse framstår det som att det alltid är tillåtet att behandla personuppgifter för andra ändamål enligt artikel 5.1 b. Det är dock inte korrekt eftersom den artikeln anger ett antal förutsättningar som måste vara uppfyllda för att personuppgifter ska få behandlas för andra ändamål än för vilka de samlades in. Artikel 5.1.b gäller direkt och får regleras i nationell rätt om det är frågan om ett förtydligande (skäl 8). Att utelämna vissa rekvisit innebär inte ett förtydligande. Om

Datainspektionen 2017-11-01 Diarienr 1954-2017 4 (22) finalitetsprincipen ska återges i nationella bestämmelser måste den återges på ett korrekt sätt. Med den ordalydelse som utredningen föreslår avstyrker Datainspektionen de föreslagna bestämmelserna som avser finalitetsprincipen. 6 Allmänna utgångspunkter 6.1 Behandling som i dag är laglig ska kunna fortsätta men författningsstöd för annat bör inte införas nu Datainspektionen anser att den metod som använts av utredningen riskerar leda till att nationella bestämmelser inte kommer att överensstämma med dataskyddsförordningen. Av betänkandet framgår att utredningens utgångspunkt för anpassningen är att personuppgiftsbehandling som idag är laglig, om det är möjligt, ska vara det även i framtiden. Till följd av tidspress har utredningen bedömt att det inte är möjligt att göra ingående avvägningar mellan integritetsskyddet och andra intressen och att utredningen måste stödja sig på de avvägningar som redan har gjorts. Datainspektionen har förståelse för att utredningen haft begränsat med tid för att genomföra sitt arbete. Datainspektionen delar också uppfattningen att de avvägningar som gjorts tidigare kan tjäna som en utgångspunkt för de avvägningar som dataskyddsförordningen kräver vid nationell reglering. Det är emellertid inte så som arbetet genomförts, utan tidigare bedömningarna, om de finns, har inte tagits fram och analyserats. Utredningen har istället förutsatt att det tidigare har genomförts avvägningar som alltjämt är relevanta och ibland anses s.k. tysta avvägningar ha skett. Datainspektionen vill erinra om att de författningar som behandlas av utredningen avser reglering som inskränker den enskildes rättigheter. För att en sådan inskränkning överhuvudtaget ska få ske måste den vara i proportion mot det legitima mål som eftersträvas. Det är viktigt att detta är transparent för såväl rättighetsinnehavaren som lagstiftaren själv. Se bland annat resonemanget i förarbetena till 2 kap. 6 andra stycket regeringsformen (prop. 2009/10:80 s. 177).

Datainspektionen 2017-11-01 Diarienr 1954-2017 5 (22) Som kommittén påpekar är en följd av denna reglering bl.a. att lagstiftaren tvingas att tydligt redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Detta kan förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingående belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs ytterligare. Datainspektionen instämmer därför i vad Datainspektionens expert framfört angående en kartläggning av behandling av personuppgifter inom socialdepartementets område (s. 185 betänkandet). Utan en noggrann genomgång finns det risk för att den nationella regleringen inte kommer att överensstämma med dataskyddsförordningen och att det kommer saknas nationell reglering för sådan behandling av personuppgifter som är nödvändig i samhället. Datainspektionen vill i detta sammanhang även framhålla den stora skillnaden mellan ett direktiv som implementeras i svensk rätt och en förordning som ska tillämpas direkt. Många av dataskyddsförordningens bestämmelser är direkt tillämpliga i svensk rätt utan möjlighet till avvikande nationell reglering. I vissa avseenden finns dock ett utrymme för, och i vissa fall även krav på, nationell reglering som kompletterar dataskyddsförordningens bestämmelser. Den kompletterande regleringen måste dock alltid följa dataskyddsförordningen. Vid normkonflikter mellan förordningens bestämmelser och nationell lag äger förordningen företräde framför nationell rätt i enlighet med principen om EU rättens företräde. Förordningen blir således det primära regelverket avseende behandling av personuppgifter. Patientdatalagen, och övriga lagar som behandlas i betänkandet, blir subsidiära i förhållande till dataskyddsförordningen. Lagstiftaren måste säkerställa att dataskyddsförordningen kompletteras med nationella regler i tillräcklig utsträckning för att viktig verksamhet ska kunna behandla de personuppgifter som är nödvändiga för verksamheten. Det är också viktigt att det blir tydligt hur regelverken förhåller sig till varandra, så att de som ska tillämpa dataskyddsbestämmelserna förstår att de nationella reglerna inte kan åsidosätta dataskyddsförordningen och att en prövning om en behandling av personuppgifter är tillåten eller inte, primärt ska ske utifrån förordningen. En reglering som exempelvis patientdatalagen, i vilken många frågor om personuppgiftsbehandling regleras, kan för den enskilda tillämparen i högre grad uppfattas som det primära regelverket på området för behandling av personuppgifter än en lagstiftning som endast reglerar enstaka

Datainspektionen 2017-11-01 Diarienr 1954-2017 6 (22) frågor. Det blir i denna typ av kompletta regelverk särskilt viktigt att det genom hänvisningar till relevanta artiklar i förordningen och på annat sätt tydliggörs att det är bestämmelserna i förordningen som ska följas i första hand. 7 Konsekvenserna av att dataskyddsförordningen börjar tillämpas 7.3 Möjligheterna för myndigheter att behandla personuppgifter med stöd av en intresseavvägning minskar Utredningen har utgått från att en myndighets behandling av personuppgifter inom kärnverksamheten som tidigare bedömts vara tillåten med stöd av en intresseavvägning enligt personuppgiftslagen, ofta även får anses vara nödvändig för att utföra en arbetsuppgift av allmänt intresse och därmed vara tillåten med stöd av artikel 6.1 e dataskyddsförordningen. Det kan säkerligen finnas situationer där behandling som tidigare skett med stöd av en intresseavvägning får anses vara nödvändig för att utföra en uppgift av allmänt intresse. Det krävs dock att det är så och att grunden för behandlingen är fastställd i enlighet med unionsrätten eller en medlemsstats nationella rätt och proportionell mot det legitima mål som eftersträvas, för att behandlingen ska vara tillåten enligt dataskyddsförordningen. En analys måste därför göras i varje enskilt fall om en viss behandling är nödvändig för ett allmänt intresse och om denna i sådant fall är fastställd i unionsrätten eller nationell rätt enligt de krav som finns i artikel 6.2 och 6.3 dataskyddsförordningen. Datainspektionen har i sitt yttrande över SOU 2017:39 Ny dataskyddslag yttrat sig över tolkningen av artikel 6.1 andra stycket. 1 7.9 Konsekvensbedömning Datainspektionen anser att det är av vikt att lagstiftaren i det fortsatta arbetet tar ställning till om en allmän konsekvensbedömning ska utföras av lagstiftaren och att den i sådana fall följer kraven på hur en 1 http://www.datainspektionen.se/documents/remissvar/2017-09-08- kompletterande%20dataskyddslag.pdf

Datainspektionen 2017-11-01 Diarienr 1954-2017 7 (22) konsekvensbedömning ska genomföras enligt artikel 35 dataskyddsförordningen. Utredningen anser att skyldigheten att genomföra en konsekvensbedömning enligt artikel 35 dataskyddsförordningen har störst betydelse när verksamheten inte omfattas av en särskild registerförfattning eftersom en konsekvensbedömning enligt artikel 35.10 som regel inte behöver göras vid behandling som utförs med stöd av artikel 6.1 c eller e i dataskyddsförordningen när en konsekvensutredning redan har genomförts vid antagandet av den reglering som utgör den rättsliga grunden för behandlingen. Det framgår inte om utredningen anser att en allmän konsekvensbedömning får anses ha gjorts för respektive författning som omfattas av utredningens förslag. Datainspektionen anser att det är av vikt att lagstiftaren i det fortsatta arbetet tar ställning till om en allmän konsekvensbedömning ska utföras av lagstiftaren och att den i sådana fall följer kraven på hur en konsekvensbedömning ska genomföras enligt artikel 35 dataskyddsförordningen. 8 Verksamheter som inte har en registerförfattning Datainspektionen efterfrågar i det fortsatta lagstiftningsarbetet analyser som visar om det behöver införas särskilda nationella dataskyddsbestämmelser för de verksamheter som idag saknar egna registerförfattningar. Utgångspunkten i betänkandet är att om behandling av personuppgifter har bedömts kunna ske med stöd av de generella regelverken personuppgiftslagen och personuppgiftsförordningen, kommer myndighetens behov av att kunna behandla personuppgifter att säkerställas genom den föreslagna kompletterande dataskyddslagen och dataskyddsförordningen. Utredningen har bedömt att utredningens uppdrag har varit att undersöka om det idag förekommer någon behandling av personuppgifter med stöd av 5 a eller en intresseavvägning enligt 10 f, eller personuppgiftsförordningen som, när personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas, behöver ett författningsstöd för att kunna fortsätta och som är mer eller mindre unik och därför inte rimligen bör omfattas av en generell reglering (s. 187 betänkandet).

Datainspektionen 2017-11-01 Diarienr 1954-2017 8 (22) I betänkandet anges att det inte framkommit att några fler myndigheter eller verksamheter inom Socialdepartementets verksamhetsområde än de som redan har en registerförfattning behöver kompletterande föreskrifter till följd av att personuppgiftslagen upphävs och dataskyddsförordningen börjar tillämpas. De behandlingar som myndigheter som saknar registerförfattningar har redogjort för är i stället i de flesta fall sådana som till sin natur är gemensamma för många myndigheter och organisationer. Det är därför inte motiverat att reglera behandlingen särskilt utan denna bör istället omfattas av den generella regleringen. Datainspektionen ifrågasätter utredningens bedömning av följande anledningar. När dataskyddsförordningen blir tillämplig är den det primära regelverket. I vissa fall krävs enligt dataskyddsförordningen kompletterande nationell lagstiftning för att det ska vara tillåtet att behandla personuppgifter. Dataskyddsförordningen ställer enligt artikel 6.3 krav på att den rättsliga grunden måste vara fastställd i unionsrätt eller nationell rätt för att tillämpa de rättsliga grunderna i artikel 6.1 c och e. Om den rättsliga grunden är en rättslig förpliktelse enligt 6.1. c ska dessutom syftet med behandlingen vara fastställd i den nationella rätten. Nationell rätt som fastställer de rättsliga grunderna i artikel 6.1 c och e ska vidare uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas. I skäl 41 anges att en rättslig grund bör vara tydlig och precis och att dess tillämpning bör vara förutsägbar för personer som omfattas av den. Genom denna förändring ställs således nya krav på hur den rättsliga grunden ska vara utformad för att den ska kunna läggas till grund för behandling av personuppgifter. Den föreslagna kompletterande dataskyddslagen innehåller inte ett fastställande av den rättsliga grunden. Däremot kan den rättsliga grunden vara tillräckligt tydligt reglerad i myndigheternas uppdrag. Det måste emellertid bedömas för varje aktuell behandling. Även artikel 9 gällande känsliga personuppgifter ställer krav på unionsrättslig eller nationell reglering. I betänkandet till den kompletterande dataskyddslagen SOU 2017:39 (s. 162) anges kravet på stöd i nationell rätt innebära att vissa av undantagen i sig bör föreskrivas i nationell rätt, antingen i generell eller i sektorsspecifik reglering. Datainspektionens bedömning är att verksamheter som regelmässigt behandlar känsliga personuppgifter behöver ett vidare stöd i nationell rätt, än vad som föreskrivs i den föreslagna kompletterande dataskyddslagen.

Datainspektionen 2017-11-01 Diarienr 1954-2017 9 (22) Om lagstiftaren inte säkerställer att nationell lagstiftning införs där behov finns och dataskyddsförordningen så kräver, kan det leda till att samhällsviktiga behandlingar av personuppgifter kan komma att sakna rättsligt stöd när förordningen ska börja tillämpas. Detta gör sig särskilt gällande beträffande de verksamheter som hanterar känslig eller integritetskänslig information. I betänkandet saknas tillräckliga redogörelser och analyser för att kunna bedöma om det behöver införas särskilda nationella dataskyddsbestämmelser för de myndigheter som idag saknar egna registerförfattningar. Datainspektionen anser att sådana analyser behöver göras i det fortsatta lagstiftningsärendet. Någon redogörelse för de behandlingar som utförs inom verksamheterna som inte omfattas av registerförfattningar finns inte heller i betänkandet. Verksamheter inom Socialdepartementets område är ofta sådana att behandling av stora mängder känsliga personuppgifter är nödvändiga, såsom till exempel hos Folkhälsomyndigheten. Datainspektionen har i flera remissyttranden och i en skrivelse till Socialdepartementet framfört synpunkter på att det saknas särskilda bestämmelser för den personuppgiftsbehandling som utförs av Folkhälsomyndigheten, tidigare Smittskyddsinstitutet och Statens folkhälsoinstitut. 2 En annan myndighet för vilken en registerförfattning kan behöva övervägas är Barnombudsmannen som inom sin verksamhet behandlar känsliga personuppgifter om barn. Det saknas även analyser av om befintliga registerförfattningar är tillräckliga för att de verksamheter som omfattas av dem ska kunna utföra sina uppdrag. Utredningen betonar att den inte har bedömt om det är nödvändigt eller lämpligt av annan anledning än den kommande förändringen på grund av EU regleringen med en författningsreglering av behandlingen av personuppgifter hos de nämnda myndigheterna (s. 202 betänkandet). Datainspektionen återkommer nedan till att viss personuppgiftsbehandling måste regleras i lag enligt 2 kap. 6 regeringsformen, se avsnitt 9.10.1. 2 Datainspektionens ärenden 937-2009, remissyttrande S2009/4733/FH; 1087-2010, remissyttrande S2010/4398/FH; 989-2006, tillsynsbeslut beträffande Smittskyddsinstitutet och skrivelse till Socialdepartementet och 1654-2012, remissyttrande S2012/7860/FS

Datainspektionen 2017-11-01 Diarienr 1954-2017 1 0 (22) 9 Allmänt om befintliga bestämmelser 9.2 Det är tillåtet att begränsa myndigheters möjligheter till behandling och utöka deras skyldigheter För att kunna begränsa personuppgiftsansvarigas möjligheter till behandling och utöka deras skyldigheter utöver dataskyddsförordningens krav måste det finnas ett stöd för detta i dataskyddsförordningen. Utredningen har bedömt att det är möjligt att i nationell rätt begränsa myndigheters möjligheter att behandla personuppgifter och att utöka deras skyldigheter jämfört med vad som gäller enligt dataskyddsförordningen. Datainspektionen delar inte den uppfattningen. Dataskyddsförordningen har tillkommit för att ytterligare harmonisera EU medlemsstaternas reglering av behandling av personuppgifter, se artikel 1 3 och skäl 3 13. EU förordningar är direkt tillämpliga i medlemsstaterna. För att det ska vara möjligt för en medlemsstat att meddela avvikande bestämmelser i förhållande till en EUförordning krävs det att det framgår av förordningen att medlemsstaten kan eller ska meddela nationella bestämmelser. Om dataskyddsförordningen i sig ger stöd att behandla personuppgifter, finns det inte utrymme för att ställa ytterligare krav i nationell rätt, om dataskyddsförordningen inte medger det. Att det är möjligt att i nationell rätt reglera behandling av personuppgifter mer detaljerat i förhållande till artikel 6.1 c och e framgår av artikel 6.2 och 6.3. Om behandlingen hos myndigheten stödjer sig på någon annan rättslig grund finns det dock inte något motsvarande utrymme för nationell reglering i förordningen vilket innebär att sådana nationella bestämmelser inte är förenliga med dataskyddsförordningen. 9.4 Registerförfattningarnas syfte Utredningen har bedömt att bestämmelser som avser det övergripande syftet i befintliga registerförfattningar ofta är utformade på ett sätt som uttrycker den avvägning lagstiftaren gjort mellan intresset av skydd för den personliga integriteten och intresset av att den aktuella verksamheten ska kunna bedrivas på ett ändamålsenligt och effektivt sätt. Datainspektionen ifrågasätter om det enligt dataskyddsförordningen finns utrymme för den typen av bestämmelser eftersom det framgår direkt av förordningen vilket syfte reglerna har och vilka avvägningar som ska göras.

Datainspektionen 2017-11-01 Diarienr 1954-2017 1 1 (22) Det är också viktigt att det i texterna görs en tydlig åtskillnad mellan sådana övergripande syften och ändamålen med behandlingen av personuppgifter. Vart och ett av ändamålen med behandlingen av personuppgifter i befintliga författningar behöver överensstämma med den rättsliga grunden som behandlingen stöds av. Eftersom de rättsliga grunderna kan ge olika konsekvenser är det viktigt att den rättsliga grunden för ett ändamål är tydligt för såväl tillämparen som den registrerade. 9.6 Registerförfattningarnas förhållande till annan dataskyddsreglering I den mån både dataskyddsförordningen och brottsdatalagen kan bli tillämplig inom en viss verksamhet är det av stor vikt att lagstiftaren tydliggör för verksamheterna vilka bestämmelser som ska tillämpas i vilken situation. I den mån en författning innehåller bestämmelser om dels verksamheten som sådan och dels personuppgiftsbehandling måste det vara tydligt vilka bestämmelser som har sin grund i dataskyddsförordningen. Inom hälso och sjukvården och inom socialtjänsten finns det delar av verksamheten som utgör verkställighet av påföljder inom rättsväsendet. Den personuppgiftsbehandling som utförs för dessa ändamål omfattas inte av dataskyddsförordningen. Istället gäller för denna behandling av personuppgifter det så kallade brottsdatadirektivet, som i Sverige har föreslagits implementeras genom en brottsdatalag (se SOU 2017:29). Detta kommer att ställa stora krav på verksamheterna i deras arbete med personuppgiftsbehandling. Behandlingen av personuppgifter inom dessa verksamheter måste vid varje givet tillfälle vara i enlighet med det regelverk som är tillämplig på den behandling som utförs just då. Lagstiftaren bör mot bakgrund av detta söka tydliggöra för verksamheterna och de registrerade vilket regelverk som är tillämpligt när, och i den mån det är möjligt, harmonisera regelverken för att underlätta en korrekt behandling. Många författningar på Socialdepartementets område innehåller även andra bestämmelser än sådana som följer av dataskyddsförordningen. Till exempel finns det bestämmelser om journalföring i 3 kap. patientdatalagen. Det bör tydliggöras i respektive författning vilka bestämmelser som har sin grund i dataskyddsförordningen.

Datainspektionen 2017-11-01 Diarienr 1954-2017 1 2 (22) 9.8 Begreppet allmänt intresse 9.8.2 Att bedriva verksamhet som ska finnas i enlighet med internationella rättighetsstadgor är ett viktigt allmänt intresse Enligt utredningens bedömning är sådana allmänna intressen som ska finnas i enlighet med internationella rättighetsstadgor bl.a. hälso och sjukvård, socialförsäkring och pensioner samt sociala förmåner som tillhandahålls inom socialtjänsten allmänna intressen i enlighet med dataskyddsförordningen. I sista stycket på s. 220 som fortsätter på s. 221, anges att det allmänna intresset gör behandlingen tillåten enligt artikel 6.1 e, 9.2 g och kan motivera begränsningar enligt artikel 23.1 g och tredjelandsöverföring enligt 49.1 d. Datainspektionen delar inte den uppfattningen. Även om rättigheter för enskilda i internationella rättighetsstadgor är av allmänt intresse, kan grunden för behandlingen generellt sett inte anses vara fastställd enligt artikel 6.3 genom en rättighetsstadga i sig. Inte heller uppfyller rättighetsstadgorna de krav som ställs på undantag till förbudet att behandla känsliga personuppgifter enligt artikel 9. Rättighetsstadgorna föreskriver generellt inte om behandling av personuppgifter och anger därmed inte heller behandlingens syfte eller vilka skyddsåtgärder som ska vidtas. Avseende begränsningar av rättigheter eller överföring av uppgifter till tredjeland finns det inte heller normalt en sådan precision i rättighetsstadgorna att dessa kan utgöra stöd enligt dataskyddsförordningen. Rättighetsstadgorna är generellt utformade och uppfyller inte kraven i skäl 41 som anger att den rättsliga grunden ska vara tydlig och precis och dess tillämpning förutsägbar för personer som omfattas av den. Om en rättighetsstadga som är fastställd i unionsrätten är så pass specifik att den kan anses vara tydlig, precis och förutsägbar enligt kraven i dataskyddsförordningen, kan den givetvis åberopas som rättslig grund för behandlingen. Det är i ett sådant fall unionsrätten som ska uppfylla kraven enligt artikel 6.3 och artikel 9.2 g. 9.8.3 Redan gjorda bedömningar av allmänt intresse har alltjämt giltighet Utredningen utgår från att vissa bedömningar har gjorts och att de fortsatt är giltiga. Såsom angetts ovan anser Datainspektionen att redan gjorda bedömningar kan utgöra en bra utgångspunkt men bedömningarna måste identifieras och lyftas fram för att sedan bedömas mot de förhållanden som

Datainspektionen 2017-11-01 Diarienr 1954-2017 1 3 (22) råder idag. Det är inte förenligt med dataskyddsförordningen att på detta sätt luta sig mot sådana bedömningar som har gjorts för länge sedan enligt ett annat regelverk utan att ta hänsyn till de omständigheter som råder idag. Se även avsnitt 9.10.1 nedan. 9.10 Rättslig grund för behandling av personuppgifter 9.10.1 Laglig behandling av personuppgifter vid rättslig förpliktelse, allmänt intresse och myndighetsutövning Det är inte förenligt med dataskyddsförordningen att förutsätta att en proportionalitetsbedömning har gjorts. I betänkandet förutsätts det att lagstiftaren i samband med tidigare författningsarbeten har gjort en proportionalitetsbedömning och att lagstiftaren har bedömt att lagstiftningen syftar till att uppfylla ett mål av allmänt intresse och att kraven på bestämmelserna enligt artikel 6.3 andra stycket sista meningen i dataskyddsförordningen därmed får anses vara uppfyllda. Det är viktigt att visa vilka överväganden som gjorts för att se till att den nationella rätten uppfyller ett mål av allmänt intresse och är proportionerlig mot det legitima mål som eftersträvas, vilket krävs enligt artikel 6.3. Datainspektionen anser att det inte är tillräckligt att hänvisa till de proportionalitetsbedömningar som utförts i tidigare lagstiftningsarbete, utan att det sker någon bedömning av dessa. Eftersom det är frågan om inskränkning i den enskildes rättigheter som bara får ske under förutsättning att den är proportionell, krävs det en aktiv bedömning. Tidigare bedömningar och befintlig verksamhet utgör givetvis en viktig grund för bedömningen, men den digitala informationshanteringen förändras snabbt och vad som är möjligt idag skiljer sig på ett väsentligt sätt från vad som var möjligt för bara några år sedan. Dessutom ska bedömningen ske utifrån dataskyddsförordningen, vilken inte är densamma som när regelverket vilade på ett direktiv som införts i nationell rätt. Ett direktiv ger, per automatik, ett annat utrymme till medlemsstaterna att göra egna tolkningar. Vidare finns det förändringar mellan dataskyddsdirektivet och dataskyddsförordningen såsom exempelvis att det i vissa fall krävs en i

Datainspektionen 2017-11-01 Diarienr 1954-2017 1 4 (22) nationell rätt fastställd rättslig grund (artikel 6.3 första stycket), att intresseavvägning inte kan användas som rättslig grund för myndigheter när de fullgör sina uppgifter (artikel 6.1 andra stycket) och att det är tydligare i dataskyddsförordningen att möjligheten för offentlig verksamhet att använda samtycke är mycket begränsad (skäl 43). Att förlita sig på att det tidigare har skett korrekta bedömningar och att dessa blir desamma för dataskyddsförordningen är således inte tillräckligt för att uppfylla dataskyddsförordningens krav. Eftersom betänkandet saknar en närmare redovisning av proportionalitetsbedömningar kan lagförslagen inte anses förenliga med dataskyddsförordningen. Datainspektionen efterfrågar därför i det fortsatta lagstiftningsarbetet en analys som visar att lagstiftningen är proportionell mot det legitima mål som eftersträvas. Datainspektionen efterfrågar analyser om behandling som idag regleras i förordning meddelad av regeringen enligt 2 kap. 6 regeringsformen måste regleras genom lag. I betänkandet anges att 2 kap 6 regeringsformen inte behöver beaktas eftersom ändamålsbestämmelserna inte ska ändras. Datainspektionen vill i sammanhanget erinra om kravet i 2 kap. 6 regeringsformen innebär att vissa former av personuppgiftsbehandling måste regleras i lag. Enligt övergångsbestämmelserna behåller äldre föreskrifter som innebär betydande intrång i den personliga integriteten sin giltighet fram till och med den 31 december 2015. Detta innebär att förordningar som innehåller bestämmelser som innebär betydande intrång i den personliga integriteten måste lagregleras i enlighet med kraven i regeringsformen för att kunna utgöra ett stöd för behandling som kräver stöd i nationell rätt enligt dataskyddsförordningen. Till exempel bör det analyseras om förordningarna om hälsodataregister är sådana att de enligt regeringsformen måste regleras i lag. 3 9.10.2 Samtycke som rättslig grund Datainspektionen efterfrågar noggranna överväganden kring bestämmelser i registerförfattningar om samtycke som rättslig grund för behandling av 3 T.ex. förordning (2001:707) patientregister hos Socialstyrelsen och förordning (2001:708) om medicinskt födelseregister hos Socialstyrelsen

Datainspektionen 2017-11-01 Diarienr 1954-2017 1 5 (22) personuppgifter. Övervägandena måste bland annat beakta kravet på att ett samtycke måste vara frivilligt och att dataskyddsförordningen inte ger mandat till nationella bestämmelser avseende samtycke som rättslig grund. Utredningen har angett att bestämmelser i registerförfattningar som tilldelar den registrerades samtycke betydelse kan och bör behållas, men om den rättsliga grunden inte utgörs av rättslig förpliktelse artikel 6.1 c eller allmänt intresse eller myndighetsutövning artikel 6.1 e krävs särskilda överväganden om det avser enskildas behandling. Dataskyddsförordningen är utformad så att offentlig verksamhet förväntas erhålla stöd från lagstiftaren för den behandling av personuppgifter som verksamheterna behöver utföra. Bland annat framgår det av skäl 47, som avser intresseavvägning som grund, att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter. Såsom anges i betänkandet bör samtycke inte heller utgöra rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt, enligt skäl 43. Många verksamheter inom Socialdepartementets område har i uppgift att ge stöd, vård och omsorg till personer som är i behov av det. Det är således verksamheter där det oftast råder ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Läkare patient, socialsekreterare mottagare av bistånd torde vara sådana situationer där det råder betydande ojämlikhet och vilket innebär att det är svårt att stödja behandling av personuppgifter på den rättsliga grunden samtycke. Sammantaget innebär det att utrymmet för att samtycke ska kunna utgöra den rättsliga grunden inom Socialdepartementets verksamhetsområde är mycket snäv. Medlemsstaterna har, enligt artikel 6.2, enbart stöd för att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordning gällande artikel 6.1 c och e. Samtycke som rättslig grund ger inte medlemsstaterna utrymme för egen nationell reglering enligt artikel 6.3.

Datainspektionen 2017-11-01 Diarienr 1954-2017 1 6 (22) Datainspektionen delar, med anledning av vad som anges ovan, därför bedömningen att bestämmelser om samtycke som rättslig grund kräver särskilda överväganden, men anser att det krävs för alla verksamheter inom Socialdepartementets område oavsett om de bedrivs av enskilda aktörer eller myndigheter, se avsnitt 9.2 ovan. Datainspektionen anser att de registerförfattningar som innehåller bestämmelser om samtycke som rättslig grund måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation den registrerade befinner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Det måste stå klart för både de registrerade och de personuppgiftsansvariga om och under vilka förutsättningar samtycke kan ges och hur samtycket påverkar övriga regler i aktuell registerförfattning. Datainspektionen saknar emellertid sådana särskilda överväganden i betänkandet, exempelvis hänvisas beträffande 6 apoteksdatalagen och 4 andra stycket lagen om receptregister enbart till avsnitt 9.10.2 (s. 375 och s. 467). I avsnitt 10.1.6 avseende 2 kap. 3 första stycket patientdatalagen anges att enligt den bedömning utredningen har gjort i avsnitt 9.10.2 behöver någon ny avvägning angående huruvida det är lämpligt att grunda en behandling av personuppgifter på samtycke inte göras. Utredningen konstaterar därefter att bestämmelsen kan behållas. Någon kommentar gällande privata vårdgivare görs inte. Regler från dataskyddsförordningen som inte ska eller får regleras nationellt, får enligt skäl 8 enbart införlivas i nationell rätt om det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga. Datainspektionen anser att såsom de aktuella bestämmelserna är utformade kan det ge verksamheterna en felaktig uppfattning om att samtycke kan utgöra den rättsliga grunden på ett betydligt vidare sätt än vad dataskyddsförordningen avsett för offentlig verksamhet. Det är inte heller möjligt att, utifrån registerförfattningarna, förstå att särskilda förhållanden råder till övriga reglerna i registerförfattningen när den rättsliga grunden är samtycke. Bestämmelserna gällande samtycke som rättslig grund ökar således inte begripligheten och kan därför, enligt Datainspektionen, inte behållas i sin nuvarande utformning.

Datainspektionen 2017-11-01 Diarienr 1954-2017 1 7 (22) 9.11 Känsliga personuppgifter 9.11.3 Undantag för viktiga allmänna intressen Det är inte förenligt med dataskyddsförordningen att förutsätta att proportionalitetsbedömningar har gjorts. Det är inte heller förenligt med dataskyddsförordningen att förutsätta att behandlingen är nödvändig av hänsyn till ett allmänt intresse och att kraven i artikel 9 för undantag till förbudet att behandla känsliga personuppgifter är uppfyllda. Datainspektionen har i sitt remissyttrande över Dataskyddsutredningens betänkande (SOU 2017:39) lämnat synpunkter på förslag till undantag från förbudet att behandla känsliga personuppgifter. 4 Socialdataskyddsutredningen har hänvisat till att det redan tidigare har bedömts att behandlingen enligt befintliga registerförfattningar är nödvändig av hänsyn till ett viktigt allmänt intresse även om övervägandena inte alltid framgår uttryckligen av förarbetena. Det förutsätts också att en proportionalitetsbedömning har gjorts när ett undantag från dataskyddsdirektivet meddelats och att övriga krav på ett undantag enligt artikel 9 är uppfyllda. Datainspektionen kan konstatera att artikel 9 inte ger medlemsstaterna mandat att reglera ytterligare undantag. Däremot kräver vissa av undantagen, exempelvis en behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse i artikel 9.2 g, stöd i unionsrätten eller medlemsstaternas nationella rätt. Unionsrätten eller medlemsstaternas nationella rätt ska då stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I det fortsatta lagstiftningsarbetet måste de analyser som krävs enligt artikel 9 göras och det måste säkerställas att den nationella regleringen som föreslås innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intresse. 4 http://www.datainspektionen.se/documents/remissvar/2017-09-08- kompletterande%20dataskyddslag.pdf, s. 10-11

Datainspektionen 2017-11-01 Diarienr 1954-2017 1 8 (22) 9.11.4 Undantag för hälso och sjukvård samt social omsorg Lagstiftaren måste utreda om det med anledning av artikel 9.2 h och 9.3 behöver införas en lagstadgad tystnadsplikt för personuppgiftsbiträden för sådan behandling som sker inom hälso och sjukvården och social omsorg. Datainspektionen anser att det är viktigt att det skyndsamt utreds huruvida den behandling av personuppgifter som sker idag inom hälso och sjukvård och social omsorg är förenlig med artikel 9.2 h och 9.3 i dataskyddsförordningen, eller om det behöver införas en lagstadgad tystnadsplikt för de personuppgiftsbiträden som idag inte omfattas av en sådan. Datainspektionen har tidigare framfört detta i sitt remissyttrande över Dataskyddsutredningsens betänkande 5 och i en skrivelse till regeringen 6. 9.11.6 Fler uppgifter blir känsliga personuppgifter Nationella bestämmelser som innebär att personuppgiftsansvariga får behandla känsliga personuppgifter, oavsett om det avser någon eller alla kategorier, måste vara i överensstämmelse med artikel 9. Det är inte förenligt med dataskyddsförordningen att förutsätta att dessa bedömningar har gjorts i tidigare lagstiftningsarbeten. Utredningen föreslår att bestämmelser i särskilda registerförfattningar som tillåter att alla kategorier av känsliga personuppgifter enligt nuvarande definition får behandlas bör avse alla kategorier av känsliga personuppgifter enligt den utvidgade definitionen i dataskyddsförordningen. Analyser måste göras av vilka kategorier av känsliga personuppgifter som är nödvändiga att behandla i en viss verksamhet. I betänkandet är utgångspunkten att alla verksamheter som tidigare har tillåtits att behandla samtliga kategorier av känsliga personuppgifter ska få göra det även i fortsättningen, inklusive de nya kategorierna, utan någon analys av om det faktiskt behövs. Ett exempel är att det föreslås att behandling av samtliga kategorier av känsliga personuppgifter ska få behandlas enligt socialförsäkringsbalken utan någon analys om dessa uppgifter har varit nödvändiga att behandla i verksamheten sedan tidigare eller om ett sådant behov kan tänkas uppstå (avsnitt 10.13.6). I det fortsatta lagstiftningsarbetet 5 http://www.datainspektionen.se/documents/remissvar/2017-09-08- kompletterande%20dataskyddslag.pdf, s. 14-16 6 http://www.datainspektionen.se/documents/2017-07-13-skrivelse-sekretess.pdf, s. 7-10

Datainspektionen 2017-11-01 Diarienr 1954-2017 1 9 (22) måste det säkerställas att varje bestämmelse som ska utgöra ett undantag från förbudet i artikel 9.1 överensstämmer med de krav som framgår av artikel 9.2 och avseende hälso och sjukvård och social omsorg även artikel 9.3. 9.12 Uppgift om lagöverträdelser Utredningen föreslår att sådana begränsningar som funnits för behandling av uppgifter om lagöverträdelser ska behållas. Sådana begränsningar ska fortsatt gälla enligt den definition som gäller enligt personuppgiftslagen. Datainspektionen ser positivt på detta förslag. Datainspektionen vill dock framhålla att aktuella begränsningar måste ha stöd i dataskyddsförordningen, det gäller även för begränsningar av myndigheters behandling, se avsnitt 9.2 ovan. 9.14 Överföring till tredjeland Utredningen bedömer att bestämmelser i registerförfattningar som tillåter överföring av personuppgifter till tredjeland inte behöver ändras om det finns stöd för överföringen i dataskyddsförordningen eftersom det får anses vara en sådan mer specifik, eller särskild, bestämmelse som det enligt artikel 6.2 och 6.3 i dataskyddsförordningen är tillåten att ha i nationell rätt. Datainspektionen ifrågasätter denna bedömning. Överföring av personuppgifter till tredjeländer regleras i kapitel V i dataskyddsförordningen. I vilka fall det är möjligt med nationell reglering avseende tredjelandsöverföring framgår av kapitel V. De konkreta bestämmelser som berörs i förslaget är 114 kap. 29 socialförsäkringsbalken (avsnitt 10.13.9) och 12 andra stycket andra meningen lagen om skydd mot internationella hot mot människors hälsa (avsnitt 12.10.4). Om det finns andra bestämmelser om tredjelandsöverföring på socialdepartementets område framgår inte. Avseende de båda aktuella förslagen bedömer utredningen att överföringen är nödvändig av viktiga skäl som rör allmänintresse enligt artikel 49.1 d dataskyddsförordningen. För att säkerställa om undantagen är förenliga med dataskyddsförordningen är det nödvändigt att finna stöd i en artikel som möjliggör sådana nationella regleringar. Av artikel 49.1 d dataskyddsförordningen framgår att överföring till tredje land kan vara tillåtet om överföringen är nödvändig av viktiga skäl som rör allmänintresset. Det framgår vidare av artikel 49.4 att allmänintresset

Datainspektionen 2017-11-01 Diarienr 1954-2017 2 0 (22) ska vara erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av. Att själva allmänintresset kan erkännas av nationell rätt framgår således direkt i artikeln. Enligt Datainspektionens bedömning saknas det dock i artikel 49.1 d en möjlighet att i nationell rätt generellt tillåta överföring till tredje land. En personuppgiftsansvarig som vill föra över uppgifter till tredje land med stöd av denna punkt måste alltid försäkra sig om att förutsättningarna för överföringen är uppfyllda. Möjligheten till nationell reglering med hänsyn till viktiga allmänintressen finns istället i artikel 49.5. Enligt denna artikel krävs dock att det i den nationella rätten fastställs gränser för överföringen av specifika kategorier av personuppgifter till ett tredje land eller en internationell organisation. Medlemsstaterna ska också underrätta kommissionen om sådana bestämmelser. 9.15 Den registrerades rättigheter 9.15.2 Begränsningar av rättigheter Det är inte förenligt med dataskyddsförordningen att förutsätta att sådana bedömningar som krävs enligt artikel 23 har gjorts i tidigare lagstiftningsarbeten. Utredningen utgår från att sådana begränsningar av registrerades rättigheter som finns i befintliga registerförfattningar uppfyller de krav som ställs på begränsningar av registrerades rättigheter i artikel 23 dataskyddsförordningen eftersom att dataskyddsdirektivet ställde liknande krav på begränsning av registrerades rättigheter. Datainspektionen anser att den tidigare avvägningen måste identifieras och analyseras tillsammans med de befintliga omständigheterna för att en bedömning enligt artikel 23 dataskyddsförordningen ska kunna göras. 9.16 Säkerhetsåtgärder Datainspektionen vill avseende säkerhetsåtgärder påpeka att skyddsåtgärder och säkerhetsåtgärder inte är synonyma begrepp. Skyddsåtgärder är ett vidare begrepp. Som exempel kan anges att det inte är en säkerhetsåtgärd att tillmäta den registrerades inställning till en behandling betydelse, medan den registrerades inställning däremot kan anses utgöra en skyddsåtgärd.

Datainspektionen 2017-11-01 Diarienr 1954-2017 2 1 (22) 9.16.2 Bestämmelser om säkerhetsåtgärder i registerförfattningar Datainspektionen delar uppfattningen att den registrerades inställning till en behandling är en viktig skyddsåtgärd. Att en behandling får ske med den enskildes medgivande är integritetshöjande och används vidare än samtycke i övrigt, bland annat ges patienten ett viktigt inflytande vid sammanhållen journalföring (kap. 6 patientdatalagen). Enligt bestämmelserna om sammanhållen journalföring kan vårdpersonal tillfråga patienten om denne godtar att vårdgivaren tar del av andra vårdgivares uppgifter om patienten. Det är en ojämlik situation där patienten är i beroendeställning. Enligt Datainspektionen hindrar det emellertid inte att samtycket används som integritetshöjande åtgärd eftersom begränsningen enligt skäl 43 att använda samtycke i ojämlika situationer avser samtycke som utgör giltig rättslig grund för behandling av personuppgifter. Eftersom vårdgivare har andra rättsliga grunder som stöd för sin behandling av patientuppgifter inom hälso och sjukvården kan ett integritetshöjande samtycke användas oavsett att relationen är ojämlik. Det kan emellertid vara svårt för såväl den registrerade som den personuppgiftsansvarige att särskilja på samtycke som utgör rättslig grund för behandling av personuppgifter och integritetshöjande samtycke. Datainspektionen anser därför att lagstiftaren bör överväga om inte ett annat ord bör införas för det integritetshöjande samtycket såsom exempelvis godkännande som utredningen nämner eller medgivande som Datainspektionen föreslog i remissvaret gällande Nationella läkemedelslistan 7. Oavsett vilket begrepp som används är det viktigt att det tydliggörs vilken form av samtycke som lagstiftaren avser. Ett integritetshöjande samtycke måste ha en annan rättslig grund och stöd för behandling av känsliga personuppgifter. Detta yttrande har beslutats av generaldirektören Eva Håkansson efter föredragning av juristen Martina Lindkvist. Vid den slutliga handläggningen 7 http://www.datainspektionen.se/documents/remissvar/2017-04-24-nationelllakemedelslista.pdf

Datainspektionen 2017-11-01 Diarienr 1954-2017 2 2 (22) har även chefsjuristen Hans Olof Lindblom och enhetschefen Katarina Tullstedt deltagit. Eva Håkansson Martina Lindkvist

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss